問題
「出典:令和元年度 秋期 情報セキュリティマネジメント試験 午前 問3」
ア 受容するリスクについては,リスク所有者が承認すること
イ 受容するリスクを監視やレビューの対象外とすること
ウ リスクの受容は,リスク分析前に行うこと
エ リスクを受容するかどうかは,リスク対応後に決定すること
かんたん解説
リスクを受容するプレセスに求められることってのがポイントですよね。
そもそもあらゆるリスクは無くしたいわけなのですが、でも例えば金銭的な理由で対策にものすごくお金のかかることや、対策やってもコスパ悪いよねってものについては、「まー大丈夫でしょ」って受け入れちゃう判断があるってことです。「多分おこらないでしょ、おきたらしゃーない」と。
この場合大切なことは、受け入れるレベルは組織の考え方によっても変わると思いますが、承認を得ることです。勝手に判断をしちゃだめですよね。以下にちゃんと記載があります。
6.1.3 情報セキュリティリスク対応
https://kikakurui.com/q/Q27001-2014-01.html
組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない。
a) リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する。
b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。
注記 組織は,必要な管理策を設計するか,又は任意の情報源の中から管理策を特定することができる。
c) 6.1.3 b) で決定した管理策を附属書Aに示す管理策と比較し,必要な管理策が見落とされていないことを検証する。
注記1 附属書Aは,管理目的及び管理策の包括的なリストである。この規格の利用者は,必要な管理策の見落としがないことを確実にするために,附属書Aを参照することが求められている。
注記2 管理目的は,選択した管理策に暗に含まれている。附属書Aに規定した管理目的及び管理策は,全てを網羅してはいないため,追加の管理目的及び管理策が必要となる場合がある。
d) 次を含む適用宣言書を作成する。
− 必要な管理策[6.1.3のb) 及びc) 参照]及びそれらの管理策を含めた理由
− それらの管理策を実施しているか否か
− 附属書Aに規定する管理策を除外した理由
e) 情報セキュリティリスク対応計画を策定する。
f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。
てことで、正解は(ア)です。
